7.2　一般業務安全

7.2　一般業務安全

移動互聯網應用服務器的一般業務安全要求包括但不限于：

a) 在處理用戶登錄請求時，若短時間內連續出現多次登錄失敗的情況，則應要求用戶輸入驗證碼，并且限制一定時間內重試登錄的次數；

b) 在存儲用戶登錄憑證時，不應直接存儲口令原文，而應保存口令添加鹽值后的散列值，其中散列算法應選用尚未發現存在安全缺陷的成熟算法，并且鹽值的取值空間應足夠大；

c) 后臺管理入口以及管理帳戶口令應加密后保存在客戶端代碼中。

d) 不得向客戶端推送未加說明或未經客戶允許的代碼；

e) 在處理移動應用客戶端發來的數據時，應對數據的有效性進行驗證，過濾其中可能導致安全問題的內容，以防范諸如SQL注入及XSS等形式的網絡攻擊；

f) 應保障與應用軟件之間的會話不可被竊聽、篡改、偽造、重放等。